Nach Inkrafttreten der DSGVO wurde rasch deutlich, dass sich Unternehmen mit der Umsetzung der neuen Datenschutzregeln schwerer tun, als ursprünglich vermutet. Die deutschen Aufsichtsbehörden hielten sich daher zurück. Ihre Devise lautete, in erster Linie zu informieren und mit Rat zur Seite zu stehen. Doch Mitte des vergangenen Jahres wurde eine Trendwende erkennbar.
Kein Wunder, schließlich liegt das Inkrafttreten der DSGVO nun knapp zwei Jahre zurück. Damit hatten Unternehmen genug Zeit, sich mit der Materie vertraut zu machen und ihren Datenschutz anzupassen. Als Folge wird von den Behörden häufiger geprüft, ob die Einhaltung der Datenschutzvorschriften erfolgt. Zugleich erfolgt die Festsetzung von Bußgeldern konsequent auf Basis der neuen Regularien, was zu neuen Rekordbußgeldern führte.
Höhere Bußgelder
Wir berichteten im vergangenen Jahr über zwei Fälle aus Deutschland. Zunächst von einer Immobiliengesellschaft, die personenbezogene Daten nicht löschte, ob wohl kein Grund zur weiteren Aufbewahrung bestand. Das Bußgeld wurde auf 14,5 Mio. Euro festgesetzt. Etwas später geriet ein Telekommunikationsanbieter in den Fokus der Datenschützer. Weil umfassende Kundendaten zu leicht telefonisch erfragt werden konnten, setzte die zuständige Aufsichtsbehörde trotz kooperativem Verhalten ein Bußgeld in Höhe von 9,5 Mio. Euro fest.
Damit senden die Datenschützer der Bundesländer ein klares Signal: Die Zeit der Zurückhaltung ist vorbei. Es wird stärker kontrolliert, ob Unternehmen die DSGVO einhalten – und bei Verstößen drohen stattliche Bußgelder. Die Verhängung neuer Bußgelder in Rekordhöhe ist in diesem Jahr also gut möglich.
Ganzheitlicher Datenschutz ist gefragt
Es mag Unternehmen geben, die in Sachen Datenschutz wenig oder bewusst gar nichts unternommen haben. Die meisten Entscheider sind sich der Risiken jedoch bewusst und haben Maßnahmen ergriffen. So wurden beispielsweise Zulässigkeiten einzelner Vorgänge überprüft und Verzeichnisse von Verarbeitungstätigkeiten erstellt. Dennoch bedeutet dies keine automatische Sicherheit. Sollten Lücken im Datenschutzkonzept bestehen, wird es brenzlig.
Besonders auffällig sind Datenschutzverstöße, die mit IT-Themen in Verbindung stehen. Fakt ist, wir leben in einer stark digitalisierten Welt. Leichter denn je können personenbezogene Daten erfasst und von A nach B transferiert werden. Mit der Technik, die hierbei zum Einsatz gelangt, sind aber längst nicht alle Verantwortlichen vertraut. Fehler in der Konfiguration oder eine unzureichende Systempflege können dazu führen, dass Daten mit Personenbezug in die Hände Unberechtigter fallen.
Fazit
Aufgrund der gegenwärtigen Rahmenbedingungen sollten Unternehmen keine Risiken eingehen. Gefragt ist ein ganzheitlicher und zugleich dauerhaft präsenter Datenschutz. Datenschutzkonzepte dürfen keine Lücken aufweisen und die eingesetzten IT-Lösungen erfordern eine angemessene Beobachtung. Nur so ist es möglich, das Risiken im Datenschutz und die damit in Verbindung stehenden Bußgelder auf ein Minimum zu reduzieren.